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Beschreibung 

Verfahren und Vorrichtung zum modularen Multiplizieren 

5 Die vorliegende Erfindung bezieht sich auf Kryptographiealgo- 
rithmen und Vorrichtungen zum Ausfuhren solcher Kryptogra- 
phiealgorithmen und insbesondere auf ein Verfahren und eine 
Vorrichtung zum modularen Multiplizieren unter Verwendung ei- 
nes Multiplikations-Vorausschau-Verf ahrens und eines Redukti- 
10 ons-Vorausschau-Verf ahrens . 

Die Kryptographie ist eine der wesentlichen Anwendungen fur 
die modulare Arithmetik. Ein wesentlicher Algorithmus fur die 
Kryptographie ist der bekannte RSA-Algorithmus . Der RSA- 
15 Algorithmus baut auf einer modularen Exponentiation auf, wel- 
che f olgendermafien dargestellt werden kann : 

C = M d mod (N) . 

20 Hierbei ist C eine verschlusselte Nachricht, M ist eine 

nicht-verschlusselte Nachricht, d ist der geheime Schliissel 
und N ist der Modul. Der Modul N wird ublicherweise durch 
Multiplikation zweier Primzahlen p und q erzeugt. Die modula- 
re Exponentiation wird mittels des bekannten Square-and- 

^5 Multiply-Algorithmus in Multiplikationen zerlegt. Hierzu wird 
der Exponent d in Zweierpotenzen zerlegt, so daft die modulare 
Exponentiation in mehrere modulare Multiplikationen zerlegt 
werden kann. Urn die modulare Exponentiation rechenmafiig effi- 
zient implementieren zu konnen, wird die modulare Exponentia- 

30 tion daher in modulare Multiplikationen zerlegt, welche dann 
in modulare Additionen zerlegt werden konnen. 

Die DE 3631992 C2 offenbart ein Kryptographie-Ver f ahren, bei 
dem die modulare Multiplikation unter Verwendung eines Multi- 
35 plikations-Vorausschau-Verfahrens und unter Verwendung eines 
Reduktions-Vorausschau-Verf ahrens beschleunigt werden kann . 
Das in der DE 3631992 C2 beschriebene Verfahren wird auch als 
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ZDN-Verf ahren bezeichnet und anhand von Fig. 9 naher be- 
schrieben. Nach einem Startschritt 900 des Algorithmus werden 
die globalen Variablen M, C und N initialisiert . Ziel ist es, 
folgende modulare Multiplikation zu berechnen: 

5 

Z = M * C mod N. 



M wird als der Multiplikator bezeichnet, wahrend C als der 
Multiplikand bezeichnet wird, Z ist das Ergebnis der modula- 
10 ren Multiplikation, wahrend N der Modul ist. 

Hierauf werden verschiedene lokale Variablen initialisiert, 
auf die zunachst nicht naher eingegangen werden braucht . An- 
schlieBend werden zwei Vorausschau-Verf ahren angewandt . Im 

15 Multiplikations-Vorausschau-Verf ahren GEN_MULT_LA wird unter 
Verwendung verschiedener Look-Ahead-Regeln ein Multiplikati- 
ons-Verschiebungswert s z sowie ein Multiplikations- 
Vorausschau-Parameter a berechnet (910). Hierauf wird der ge- 
genwartige Inhalt des Z-Registers einer Links-Verschiebungs- 

20 Operation urn s 2 -Stellen unterzogen (920) . 

Im wesentlichen parallel dazu wird ein Reduktions- 
Vorausschau-Verf ahren GEN_Mod_LA (930) durchgef uhrt , urn einen 
Reduktionsverschiebungswert S N und einen Reduktions-Parameter 
k zu t> erec hnen. In einem Schritt 94 0 wird dann der gegenwar- 
i tige Inhalt des Modul-Registers, also N, urn s N Stellen nach 

links bzw. rechts verschoben, um einen verschobenen Modulwert 
N' zu erzeugen. Die zentrale Drei-Operanden-Operation des 
ZDN-Verf ahrens findet in einem Schritt 950 statt. Hierbei 

30 wird das Zwischenergebnis Z' nach dem Schritt 920 zu dem Mul- 
tiplikanden C, der mit dem Multiplikations-Vorausschau- 
Parameter a multipliziert ist, und zu dem verschobenen Modul 
N ' , der mit dem Reduktions-Vorausschau-Parameter b multipli- 
ziert ist, addiert. Je nach aktueller Situation konnen die 

35 Vorausschau-Parameter a und b einen Wert von +1, 0 oder -1 
haben. 
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Ein typischer Fall besteht darin, daft der Multiplikations- 
Vorausschau-Parameter a +1 betragt, und daft der Reduktion- 
Vorausschau-Parameter b -1 betragt, so daft zu einem verscho- 
benen Zwischenergebnis Z' der Multiplikand C hinzu addiert 
wird, und der verschobene Modul N ' davon subtrahiert wird. a 
wird einen Wert gleich 0 haben, wenn das Multiplikations- 
Vorausschau-Verf ahren mehr als eine voreingestellte Anzahl 
von einzelnen Links-Verschiebungen zulassen wurde, also wenn 
s z grofter als der maximal zulassige Wert von s z ist, der auch 
als k bezeichnet wird. Fur den Fall, daft a gleich 0 ist, und 
daft Z' aufgrund der vorausgehenden modularen Reduktion, also 
der vorausgehenden Subtraktion des verschobenen Moduls noch 
ziemlich klein ist, und insbesondere kleiner als der verscho- 
bene Modul N ' ist, muft keine Reduktion stattfinden, so daft 
der Parameter b gleich 0 ist. 

Die Schritte 910 bis 950 werden so lange durchgef iihrt, bis 
samtliche Stellen des Multiplikanden abgearbeitet sind, also 
bis m gleich 0 ist, und bis auch ein Parameter n gleich 0 
ist, welcher angibt, ob der verschobene Modul N ' noch grofter 
als der ursprungliche Modul N ist, oder ob trotz der Tatsa- 
che, daft bereits samtliche Stellen des Multiplikanden abgear- 
beitet sind, noch weitere Reduktionsschritte durch Subtrahie- 
ren des Moduls von Z durchgef uhrt werden mussen. 

Abschlieftend wird noch bestimmt, ob Z kleiner als 0 ist. 
Falls dies der Fall ist, muft, urn eine abschlieftende Reduktion 
zu erreichen, der Modul N zu Z hinzuaddiert werden, damit 
schlieftlich das korrekte Ergebnis Z der modularen Multiplika- 
tion erhalten wird. In einem Schritt 960 ist die modulare 
Multiplikation mittels des ZDN-Verf ahrens beendet . 

Der Multiplikations-Verschiebungswert s z sowie der Multipli- 
kations-Parameter a, welche im Schritt 910 durch den Multi- 
pi ikat ions -Vorausschau-Algor it hmus berechnet werden, ergeben 
sich durch die Topologie des Multiplikators sowie durch die 
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eingesetzten Vorausschau-Regeln, die in der DE 3631992 C2 be- 
schrieben sind. 

Der Reduktions-Verschiebungswert s N und der Reduktions- 
5 Parameter b werden, wie es ebenfalls in der DE 3631992 C2 be- 
schrieben ist, durch Vergleich des gegenwartigen Inhalts des 
Z-Registers mit einem Wert 2/3 mal N bestimmt. Aufgrund die- 
ses Vergleiches tragt das ZDN-Verf ahren seinen Namen (ZDN = 
Zwei Drittel N) . 

10 

Das ZDN-Verf ahren, wie es in Fig. 9 dargestellt ist, fuhrt 
^ die modulare Multiplikation auf eine Drei-Operanden-Addition 
tj^J (Block 950 in Fig. 9) zuruck, wobei zur Steigerung der Re- 

chenzeitef f izienz das Mul t ipl ikat ions -Vorausschau-Verf ahren 
15 und damit einhergehend das Reduktions-Vorausschau-Verf ahren 

eingesetzt werden. Im Vergleich zur Montgomery-Reduktion fur 

kann daher ein Rechenzeitvorteil erreicht werden. 

Im nachf olgenden wird anhand von Fig. 10 naher auf das Reduk- 
20 tions-Vorausschau-Verf ahren eingegangen, das im Block 930 von 
Fig. 9 ausgefuhrt wird. Zunachst wird in einem Block 1000 ei- 
ne Reservierung fur die lokalen Variablen, d. h. den Redukti- 
ons-Vorausschau-Parameter b und den Reduktions- 
Verschiebungswert s N , durchgef uhrt . In einem Block 1010 wird 
der Reduktions-Verschiebungswert s N auf Null initialisiert . 
* Hierauf wird in einem Block 1020 der Wert ZDN berechnet, der 
gleich 2/3 des Moduls N ist. Dieser Wert, der im Block 1020 
bestimmt wird, wird in einem eigenen Register, dem ZDN- 
Register, auf dem Kryptocoprozessor abgespeichert . 

30 

In einem Block 1030 wird dann bestimmt, ob die Variable n 
gleich 0 ist, oder ob der Verschiebungswert s N gleich -k ist. 
k ist ein Wert, welcher den maximalen Verschiebungswert, wel- 
cher durch die Hardware vorgegeben ist, definiert. Im ersten 
35 Durchgang wird der Block 1030 mit NEIN beantwortet, so daft in 
einem Block 1040 der Parameter n dekrementiert wird, und daB 
in einem Block 1060 auch der Reduktions-Verschiebungswert urn 
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1 dekrementiert wird. Dann wird in einem Block 1080 die Va- 
riable ZDN neu belegt, namlich mit ihrem halben Wert, was 
durch eine Rechts-Verschiebung des im ZDN-Register stehenden 
Werts ohne weiteres erreicht werden kann. In einem Block 1100 
wird dann f estgestellt , ob der Absolutwert des aktuellen Zwi- 
schenergebnisses groIJer als der im ZDN-Register stehende Wert 
ist . 

Diese Vergleichsoperation im Block 1100 ist die zentrale Ope- 
ration des Reduktions-Vorausschau-Verf ahrens . Wird die Frage 
mit JA beantwortet, so ist die Iteration beendet und der Re- 
duktions-Vorausschau-Parameter b wird, wie es im Block 1120 
dargestellt ist, belegt. Wird die im Block 1100 zu beantwor- 
tende Frage dagegen mit NEIN beantwortet, so wird iterativ 
wieder zuruckgesprungen, urn die aktuellen Werte von n und s N 
im Block 1030 zu untersuchen. Wird der Block 1030 irgendwann 
in der Iteration mit JA beantwortet, so wird zu einem Block 
1140 gesprungen, in dem der Reduktions-Parameter b zu Null 
gesetzt wird. In der in Fig. 9 im Block 950 dargestellten 
Drei-Operanden-Operation fuhrt dies dazu, daft kein Modul ad- 
diert oder subtrahiert wird, was bedeutet, daft das Zwischen- 
ergebnis Z so klein war, daft keine modulare Reduktion erfor- 
derlich war. In einem Block 1160 wird dann die Variable n neu 
belegt, wobei dann in einem Block 1180 schlieftlich der Reduk- 
tions-Verschiebungs-Wert s N berechnet wird, welcher in einem 
Block 940 von Fig. 9 benotigt wird, urn die Linksverschiebung 
des Moduls durchzuf lihren, um einen verschobenen Modul zu er- 
reichen . 

In den Blocken 1200, 1220 und 1240 werden schlieftlich die ak- 
tuellen Werte von n und k hinsichtlich weiterer Variablen MAX 
und cur_k untersucht, um die aktuelle Belegung des N- 
Registers zu untersuchen, um sicherzustellen, daft keine Regi- 
steruberschreitungen stattfinden. Die naheren Details sind 
fur die vorliegende Erfindung nicht von Bedeutung, sind je- 
doch in der DE 3631992 C2 detailliert beschrieben. 
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Der in den Fig. 9 und 10 dargestellte Algorithmus kann hard- 
waremaBig implementiert werden, wie es in Fig. 7 dargestellt 
ist. Fur die in dem Block 950 durchzuf uhrende Drei-Operanden- 
Operation wird eine arithmetische Einheit 700 benotigt, die 
in Fig. 7 mit AU bezeichnet ist. Dieselbe ist mit einem Regi- 
ster C 710 fur den Multiplikanden, mit einem Register N 720 
fur den Modul und mit einem Register Z 730 fur das aktuelle 
Zwischenergebnis der modularen Multiplikation gekoppelt. Aus 
Fig, 7 ist ferner zu sehen, daB das Ergebnis der Drei- 
Operanden-Operation uber einen Ruckkopplungspf eil 740 wieder 
in das Z-Register 730 eingespeist wird. Aus Fig. 7 ist ferner 
die Verbindung der Register untereinander zu sehen. Der in 
dem Block 1020 von Fig. 10 berechnete Wert ZDN muB in einem 
eigenen ZDN-Register 750 abgespeichert werden. Der ZDN- 
Vergleich bzw. die in Fig. 10 dargestellte Iterationschleif e 
wird ferner durch eine eigene Steuerlogik 760 fur den ZDN- 
Vergleich ablaufmaBig gesteuert. 

Die Hauptarbeit des ZDN-Algorithmus zur Berechnung von Z: = M 
x C mod N besteht daher in den folgenden beiden Operationen: 

1. Berechnung der Verschiebungswerte s z und si fur die Re- 
gister Z und N, so daB folgende Gleichung erfullt ist: 

2/3 N x 2" si < |Z| < 4/3 N x 2" si und 

2. Berechnung der Drei-Operanden-Summe : 

Z: =2 sZ Z + aC + bx 2 sz " si N, 

Der Multiplikations-Vorausschau-Parameter a und der Redukti- 
ons-Vorausschau-Parameter b konnen, wie es bekannt ist, Werte 
von -1, 0 und +1 einnehmen. 

Es sei darauf hingewiesen, daB das Zwischenergebnis Z, der 
Multiplikand C und der Modul N Langzahlen sind, also Zahlen, 
deren Anzahl von Stellen bzw. Bits durchaus groBer als 512 
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sein konnen, wobei diese Zahlen auch bis zu uber 2048 Stellen 
haben konnen . 

Der in dem Block 1100 durchzuf uhrende Vergleich des aktuellen 
Zwischenergebnisses Z mit dem Wert ZDN wird jedoch aus Re- 
chenzeitgrunden nicht mit samtlichen Bits von Z durchgef uhrt , 
sondern lediglich mit einer Anzahl von hochstwertigen Bits 
von Z, wobei sich hierfur eine Anzahl von 32 Bits als ausrei- 
chend herausgestellt hat, urn eine sehr hohe Genauigkeit fur 
das Vergleichsergebnis zu erhalten. 

Fur die fur diesen Vergleich erf orderlichen 32 hochstwertigen 
Bits von 2/3 N wird, wie es in Fig. 7 durch das Bezugszeichen 
750 dargestellt ist, ein eigenes Register benotigt, welches 
als das ZDN-Register bezeichnet wird. 

Ferner wird ein eigener Hardware-Komparator benotigt, der fur 
den aktuellen Wert im Z-Register und den aktuellen Wert im 
ZDN-Register den richtigen s—Wert berechnet, so daft folgende 
Gleichung erfullt ist: 

2/3 2" si N < |Z| < 4/3 2" si N 

Nachteilig an diesem Verfahren ist daher zum einen, daft so- 
wohl das zusatzliche ZDN-Register als auch der Hardware- 
Komparator extra Chipflache benotigen. Andererseits ist die 
Berechnung von 2/3 N und die Berechnung des Hilfs- 
Verschiebungswerts Si im ZDN-Algorithmus, die durch die in 
Fig. 10 gezeigte Iterationsschleif e durchgefuhrt wird, fur 
den gesamten Algorithmus zeitkritisch und kann durchaus be- 
stimmend fur die Gesamtausf uhrungszeit des Algorithmus sein. 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
verbessertes Konzept zum modularen Multiplizieren zu schaf- 
fen, das zum einen plat zsparender implementiert werden kann, 
und das zum anderen weniger Rechenzeit benotigt. 
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Diese Aufgabe wird durch ein Verfahren zum modularen Multi- 
plizieren nach Patentanspruch 1 oder durch eine Vorrichtung 
zum modularen Multiplizieren nach Patentanspruch 14 gelost. 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daft 
der rechenzeitauf wendige Vergleich des aktualisierten Zwi- 
schenergebnisses mit dem Wert ZDN, also dem 2/3-fachen des 
Moduls N, dadurch erleichtert werden kann, wenn zunachst der 
Modul N in einen transf ormierten Modul N T transf ormiert wird, 
und die gesamte modulare Multiplikation mit dem transf ormier- 
ten Modul N T anstatt des eigentlichen Moduls durchgefuhrt 
wird. Erf indungsgemaft wird der Modul derart transf ormiert , 
daft der vorbestimmte Bruchteil des transf ormierten Moduls, 
also bei einem bevorzugten Ausf uhrungsbeispiel das 2/3-fache 
des transf ormierten Moduls eine bestimmte Zahl wird, die so 
gewahlt wird, daft der Vergleich von 2/3 N T mit dem Zwischen- 
ergebnis Z trivial wird. Gemaft der vorliegenden Erfindung 
wird die Transformation so durchgefuhrt, daft der vorbestimmte 
Bruchteil des transf ormierten Moduls eine hoherwertige Stelle 
mit einem ersten vorbestimmten Wert hat, der zumindest eine 
niederwertige Stelle folgt, die einen zweiten vorbestimmten 
Wert hat. In binarer Darstellung und Zweier-Komplement- 
Konvention, in der das hochstwertige Bit das Vorzeichen an- 
gibt, wird die Transformation des Moduls in den transf ormier- 
ten Modul so ausgefuhrt, daft das zweit-hochstwertige Bit "von 
2/3 N T eine binare Eins ist, wahrend das dritthochste Bit und 
noch weitere niederwertigere Bits Nullen sind. 

In diesem Fall ist der Vergleich derart trivial, daft einfach 
die Anzahl der Stellen zwischen der hochstwert igen Eins des 
vorbestimmten Bruchteils des transf ormierten Moduls und dem 
aktualisierten Zwischenergebnis Z der modularen Multiplikati- 
on abgezahlt werden muft, urn den Verschiebungswert Si zu er- 
halten, aus dem dann der Reduktions-Verschiebungswert s N ein- 
fach dadurch ermittelt werden kann, daft von dem Multiplikati- 
ons-Verschiebungs-Wert des parallel ablaufenden Multiplikati- 
ons-Vorausschau-Verf ahrens der sogenannte Hilfs- 
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Verschiebungswert s ± , welcher durch den ZDN-Vergleich erhal- 
ten wird, subtrahiert wird. 

Das gesamte ZDN-Verf ahren wird genauso wie im Stand der Tech- 
nik abgearbeitet . Es wird jedoch nun statt des Moduls N der 
transformierte Modul N T verwendet, so daft schlieftlich ein 
,Jransformations-Ergebnis" der modularen Multiplikation er- 
halten wird, das in der Restklasse des transf ormierten Moduls 
N T ist. Eine abschlieftende Rucktransf ormation, derart, daft 
das Transformations-Ergebnis der modularen Multiplikation un- 
ter Verwendung des ursprunglichen Moduls N modular reduziert 
wird, liefert dann das eigentliche Ergebnis der modularen 
Multiplikation des Multiplikators M mit dem Multiplikanden C 
unter Verwendung des Moduls N. 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend bezugnehmend auf die beiliegenden Zeich- 
nungen detailliert erlautert. Es zeigen: 

Fig. 1 ein Ablauf diagramm des erf indungsgemafien Konzepts 
zum modularen Multiplizieren; 

Fig. 2 die Aufteilung eines Moduls N in einen ersten Ab- 
schnitt N T von Bits und in einen zweiten Abschnitt 
N R von Bits; 

Fig. 3 die Aufteilung des transf ormierten Moduls N T in ei- 
nen ersten Abschnitt von Stellen mit der Lange L 
(N T ) und die verbleibenden Stellen; 

Fig. 4 eine Darstellung der Stellen des 2/3-fachen des 
transf ormierten Moduls N T ; 

Fig. 5 eine schematische Darstellung der Stellen des 
transf ormierten Moduls mit Randomisierung; 
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Fig. 6 eine schematische Darstellung eines Rechenwerks zum 
Ausfuhren der modularen Multiplikation gemafl der 
vorliegenden Erf indung; 

5 Fig. 7 eine schematische Darstellung eines Rechenwerks fur 
das bekannte ZDN-Verf ahren; 

Fig. 8a bis 8c eine schematische Darstellung des Zusammen- 
hangs zwischen dem Multiplikations- 
10 Verschiebungswert s z , dem Hilf s-Verschiebungswert 

si und dem Reduktions-Verschiebungswert s N ; 

\^ Fig. 9 eine Flufidiagrammdarstellung des bekannten ZDN- 
Verf ahrens; und 

15 

Fig. 10 eine Flufidiagrammdarstellung des bekannten Redukti- 
ons-Vorausschau-Verfahrens . 

Fig. 1 zeigt ein Ablauf diagramm des erf indungsgemafien Verfah- 
20 rens zum modularen Multiplizieren eines Multiplikanden C mit 
einem Multiplikator M unter Verwendung eines Moduls N. Zu- 
nachst wird in einem Schritt 10 der Modul N in einen trans- 
formierten Modul N T gemafi folgender Gleichung transf ormiert : 

25 v N T = T x N. 

In einem Schritt 12 wird dann die modulare Multiplikation un- 
ter Verwendung des transf ormierten Moduls N T und des vorbe- 
stimmten Bruchteils des transf ormierten Moduls, der beim be- 
30 vorzugten Ausf uhrungsbeispiel 2/3 betragt, abgearbeitet . Be- 
zogen auf die modulare Exponentiation bedeutet dies, dafi eine 
RSA-Gleichung folgender Form berechnet wird: 



35 



C T : = M d mod N T . 

Es wird also das Ergebnis der modularen Exponentiation C 
nicht in der durch den Modul N definierten Restklasse sondern 
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in der durch den transf ormierten Modul N T definierten Rest- 
klasse berechnet, weshalb auf der linken Seite der obigen 
Gleichung nicht C sondern C T steht. Das erf indungsgemafte Kon 
zept zeichnet sich dadurch aus, daB durch die Verwendung des 
transf ormierten Moduls N T die Berechnung des Hilfs- 
Reduktions-Verschiebungswerts si, die der Iterationsschleif e 
von Fig. 10 des bekannten Reduktions-Vorausschau-Verf ahrens 
entspricht, stark vereinfacht ist. 

In einem abschlieflenden Schritt 14 wird dann wieder eine 
Ruck-Transformation von N T zu N durchgef iihrt , indem eine Ope 
ration ausgef iihrt wird, die folgender Gleichung entspricht: 

C: = C T mod N. 

Das transformierte Ergebnis C T , das in der Restklasse des 
transformierten Moduls N T liegt, wird dabei vorzugsweise 
durch eine einfache Verschiebungs/Subtraktions-Reduktion in 
die Restklasse des Moduls N zuruckgef iihrt , so dafi C das Er- 
gebnis der modularen Exponentiation ist. 

Die Transformation des Moduls N in einen transformierten Mo- 
dul N T unter Verwendung des Transf ormators T aus Schritt 10 
wird so durchgefuhrt , dafi der vorbestimmte Bruchteil des 
transformierten Moduls, also beim bevorzugten Ausf iihrungsbei 
spiel das 2/3-fache des transformierten Moduls, eine hoher- 
wertige Stelle mit einem ersten vorbestimmten Wert hat, der 
zumindest eine niederwert ige Stelle folgt, die einen zweiten 
vorbestimmten Wert hat. Damit kann der Vergleich des Zwi- 
schenergebnisses Z mit dem 2/3-fachen des transformierten Mo 
duls stark vereinfacht werden, namlich indem die oberste 
Stelle von Z, die ebenfalls den ersten vorbestimmten Wert 
hat, gesucht wird, und die Differenz zwischen der hoherwerti 
gen Stelle mit ersten vorbestimmten Wert des vorbestimmten 
Bruchteils des transformierten Moduls und der obersten Stell 
des Zwischenergebnisses Z mit dem ersten vorbestimmten Wert 
gleich der Differenz Si ist. 
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Zusammengef aftt stellt sich dies f olgendermafien dar. N wird 
vorzugsweise in der 32-Bit-CPU und nicht im Krypto- 
Coprozessor in einen transf ormierten Modul N T transf ormiert , 
so daft gilt: 

N T : = T x N, 

wobei T eine naturliche Zahl ist. 

Fur N T ergibt sich folgende Gestalt, wenn samtliche verwende- 
ten Zahlen Binarzahlen sind: 

N T = 1100. . . 0 XX. . .XX 

Fur das 2/3-fache des transf ormierten Moduls ergibt sich dann 
folgender Wert: 

2/3 N T = 100. . . 0 X'X' . . .X'X' 

Aus N T und 2/3 N T ist zu sehen, daB beide eine erste Portion 
von beispielsweise 16 Bits haben, und dann eine Portion von 
L(N) Bits X bzw. X'. Fur den sogenannten ZDN-Vergleich werden 
nur die obersten 16 Bits des 2/3-fachen des transf ormierten 
Moduls N T herangezogen, da sich dann bereits eine Fehlerwahr- 
scheinlichkeit von besser als etwa 2" 10 ergibt. Es mussen also 
nicht alle 512, 1024 oder 2048 Bits des 2/3-fachen des trans- 
formierten Moduls zum ZDN-Vergleich herangezogen werden, son- 
dern es geniigt, wenn dieser Vergleich mit den obersten 16 
Bits des transf ormierten Moduls durchgefuhrt wird. Selbstver- 
standlich konnten auch noch weniger Bits von 2/3 N T zum Ver- 
gleich herangezogen werden, dann steigt jedoch die Fehler- 
wahrscheinlichkeit nach und nach an. Da die Fehler jedoch un- 
kritisch sind und nur zu einem suboptimalen Verhalten des Re- 
duktions-Vorausschau-Verf ahrens ftihren, ist dieser Weg ohne 
weiteres gangbar. 
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Das 2/3-fache des transf ormierten Moduls N T hat somit eine 
hoherwertige Stelle mit dem Wert 1, der zumindest eine nie- 
derwertige Stelle folgt, die einen Wert 0 hat, also einen 
zweiten vorbestimmten Wert. Bei dem vorstehend beschriebenen 
5 Ausf uhrungsbeispiel ist die Anzahl der niederwertigen Stellen 
15. Selbstverstandlich konnen auch hier grofiere oder kleinere 
Anzahlen genommen werden, je nach dem, welche Groftenunter- 
schiede zwischen dem Zwischenergebnis Z und dem 2/3-fachen 
des transf ormierten Moduls N T zu erwarten sind bzw. bearbei- 

10 tet werden sollen. Fur den Betrag des Zwischenergebnisses Z 
der modularen Multiplikation, also des Ergebnisses der Drei- 
Operanden-Addition im Block 950 von Fig. 9 ergibt sich fol- 

jj^' gende Gestalt: 

15 |Z| = 00. . .01YY. . . Y 

Der Hilf s-Verschiebungswert Si wird gemali folgender Gleichung 
berechnet : 

20 2/3 N T x 2- si < |Z| < 4/3 N T x 2" si . 

Aufgrund der Topologie des 2/3-fachen des transf ormierten Mo- 
duls N T ist der Wert s± immer der Abstand zwischen dem 
hochstwertigen Bit mit einer 1 des 2/3-fachen des transfor- 
mierten Moduls N T und der hochstwertigen 1 des Betrags des 
Zwischenergebnisses . 

Erf indungsgemaft kann diese Stellendif f erenz bzw. der Wert s ± 
trivial ermittelt werden. Keine Iteration ist mehr erforder- 
30 lich. 

Daruber hinaus ist kein ZDN-Register mehr er f orderlich, urn 
das 2/3-fache des Moduls zu speichern, da per Definition zu- 
mindest die oberen beispielsweise 16 Bit des 2/3-fachen des 
35 transf ormierten Moduls N T immer die gleiche Gestalt haben. 

Kein Bit-Komparator ist mehr erf orderlich . Die Wertigkeits- 
differenz der hochstwertigen Stelle des 2/3-fachen des trans- 
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formierten Moduls N T mit einer „1" und der hochstwertigen 
Stelle von Z mit einer „1" kann ohne weiteres beispielsweise 
durch eine bitweise XOR-Verknupf ung des Registers fur den 
transf ormierten Modul und des Registers fur das Zwischener- 
gebnis Z durchgefuhrt werden. s± ist dann gleich der Diffe- 
renz der Wertigkeit der Stelle, wo die XOR-Verknupf ung eine 
erste „1" ausgibt, und wo die XOR-Verknupf ung eine zweite „1" 
ausgibt . 

Aufgrund der Tatsache, daft kein ZDN-Register und kein ZDN- 
Komparator erforderlich sind, ist das gesamte Rechenwerk auf 
einer kleineren Chipflache unterzubringen . 

Aufterdem hat der Krypto-Control-Part , also die Steuerlogik 
fur den ZDN-Vergleich (760 in Fig. 7), eine kleinere Komple- 
xitat, da die aufwendige Iterationsschleif e von Fig. 10 nicht 
ausgefuhrt werden mufi . Schliefilich geht die Berechnung 
schneller, so daft sich durch die Berechnung des Hilfs- 
Verschiebungswerts Si keine Timing-Probleme mehr fur den ge- 
samten Algorithmus ergeben. 

Im nachf olgenden wird anhand der Figuren 2 bis 5 auf die er- 
f indungsgemafte Transformation genauer eingegangen. 

Wie es bereits ausgefuhrt worden ist, besteht ein wesentli- 
cher Teil des ZDN-Algorithmus darin, daft folgende Gleichung 
erfullt ist 

2/3 2" si N < | Z | < 4/3 2" si N. 

si wird als Hilf s-Verschiebungswert bezeichnet und ist der 
Verschiebungswert, der notwendig ist, urn Z stellenmaftig zu 
derselben Position wie N zu schieben. Im Stand der Technik 
waren zur Berechnung von s ± Vergleichsoperat ionen von |Z| mit 
2/3 N notwendig. 
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Erf indungsgemaft wird der Vergleich mit 2/3 vereinfacht, indem 
der Modul in den transf ormierten Modul N T transf ormiert wird, 
wobei der transf ormierte Modul N T grofler als N ist, bevor ir- 
gendeine modulare Operation mit N ausgefuhrt wird. Dann wer- 
den alle Berechnungen Modulo N T durchgef uhrt . Nachdem das Er- 
gebnis der Berechnung jedoch in der Restklasse N sein mufi, 
wird erf indungsgemali eine abschlieftende Reduktion mit N 
durchgef uhrt . 

Wie es in Fig. 2 gezeigt ist, sei N eine Ganzzahl mit einer 
Lange von N Bits. Da der Modul N immer eine positive Ganzzahl 
ist, d. h. MSB = 0 in der Zweier-Komplement-Darstellung, ist 
das Vorzeichenbit gleich 0 und das zweit-hochstwertige Bit 
(MSB -1) des Moduls N ist immer gleich 1. Fur den ZDN- 
Vergleich ist es nicht erf orderlich, samtliche Bits des Mo- 
duls mit samtlichen Bits des Zwischenergebnisses zu verglei- 
chen, sondern es ist ausreichend, eine Anzahl von m Bits fur 
den ZDN-Vergleich zu verwenden. Die hochstwert igen m Bits des 
Moduls N definieren einen ersten Teil des Moduls N T , wahrend 
die restlichen N-m Bits des Moduls einen zweiten Teil N R des 
Moduls definieren. Bei einem bevor zugten Ausf uhrungsbeispiel 
ist m gleich 16. Selbstverstandlich sind auch groftere oder 
kleinere Werte von m moglich. 

Wie es in Fig. 3 gezeigt ist, wird die Transformation derart 
ausgefuhrt, dafi der transf ormierte Modul N T 16 Bit langer ist 
als der ursprungliche Modul von Fig. 2. 

Fur den ZDN-Vergleich ist es ausreichend, die ersten 16 Bit 
von N T zu verwenden, wobei bei einem bevorzugten Ausfuhrungs- 
beispiel der vorliegenden Erfindung nur 12 Bits zum Vergleich 
verwendet werden, wahrend die niederstwertigen 4 Bits einen 
Puffer fur mogliche Ubertrage darstellen, die von noch nie- 
derwertigeren Bits kommen konnen. 

In diesem Fall ist die Wahrscheinlichkeit , daB der Vergleich 
ein falsches Ergebnis ergibt, kleiner als 2~ 12 . Falls der Ver- 
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gleich ein falsches Ergebnis liefert, wird nur ein suboptima- 
ler Reduktions-Verschiebungswert s N erzeugt, das Ergebnis Mo- 
dulo N ist jedoch nach wie vor korrekt. 

Wenn der Modul wie in Fig. 2 in der Zweierkomplementdarstel- 
lung verwendet wird, dann kann der Modul N folgendermaBen 
zerlegt werden: 

N = 2 n " m N T + N R . 

Nun wird N zu N T unter Verwendung des Transf ormators T trans- 
formiert, wobei T eine geeignet gewahlte Ganzzahl ist, was 
aus Kongruenzgrunden der Fall sein muB. N T sollte die in Fig. 
3 gezeigte Form haben, d. h. das hochstwertige Bit (MSB) von 
N T muft gleich 0 sein, da N T eine positive Ganzzahl sein soil. 
Wie es nachfolgend ausgeflihrt wird, mussen das 
zweithochstwertige und das dritthochstwertige Bit des trans- 
formierten Moduls gleich 1 sein, wahrend samtliche anderen 
Bits des obersten Abschnitts des transf ormierten Moduls N T , 
welcher in Fig. 3 mit dem Bezugszeichen 33 bezeichnet ist, 
einen Wert von „0" haben sollten. Nur in diesem Fall ergibt 
sich namlich fur das 2/3-fache von N T , daft der oberste Ab- 
schnitt des 2/3-fachen von N T , wie es in Fig. 4 gezeigt ist, 
lediglich ein Bit mit einer „1" hat, wahrend alle anderen 
Bits in diesem obersten Abschnitt 44 gleich „0" sind, so daft 
der bereits beschriebene triviale Vergleich zur Bestimmung 
von s± ausgefiihrt werden kann. 

Zunachst wird jedoch anhand von Fig. 3 auf die Berechnung des 
transf ormierten Moduls N T unter Verwendung des Transf ormators 
T eingegangen. Es gelte folgende Definition: 

N T = T N 

= T(2 n " m N T + N R ) 

Fur den Transf ormator T gilt folgendes: 
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2 p-2 + 2 p_3 
T = | 1 

N T 

5 

Unter Verwendung von Gleichung 17 ergibt sich fur den trans- 
formierten Modul N T folgendes: 



10 



2 P" 2 + 2 P " 3 

N T = | 1 (2 n - m N T + N R ) 

N t 



15 Nt Nr 
n t = ^ 2 n+ P" m_2 + 2 n+p " m ~ 3 ) + (2 P ~ 2 +2 P ~ 3 ) 



N T N T 



20 Wenn beispielsweise typische Werte fiir p und m genommen wer- 
den, also p gleich 32 Bit und m gleich 16 Bit, so ergibt sich 
fur N T folgendes: 



2 p2 +2 p ~ 3 

N T = 2 n+14 + 2 n+13 + N R . 

N T 

Es sei darauf hingewiesen, daft die Berechnung von N T vorzugs- 
weise in der Host-CPU durchgefiihrt wird, und nicht im Krypto- 

30 Coprozessor. Die Host-CPU umfaftt ein Kurzzahl-Rechenwerk, was 
jedoch fur die Berechnung von N T ausreichend ist. Da T eine 
Ganzzahl sein mufi und die Berechnungen innerhalb des Krypto- 
Coprozessors Modulo N T anstatt Modulo N durchgefiihrt werden, 
wobei N T grolJer als N ist, sind nur die ersten p-m gleich 16 

35 Bits von N T fur den trivialen ZDN-Vergleich, urn den Hilfs- 
Verschiebungswert s± zu berechnen, relevant. Die anderen n 
Bits von N T konnen irgendeine Zahl sein, sie sind fur die Be- 
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rechnung des Hilf s-Verschiebungswerts Si, also fur den Ver- 
gleich mit Z nicht relevant. Selbstverstandlich werden jedoch 
alle Bits des transf ormierten Moduls N T fur die Drei- 
Operanden-Addition bendtigt, die nunmehr statt unter Verwen- 
dung des verschobenen Moduls unter Verwendung des verschobe- 
nen transf ormierten Moduls ausgefuhrt wird. 

Wie es in Fig. 17 dargestellt ist, ist fur die gewahlten Wer- 
te fur m und p der Transf ormator T eine 16-Bit-Ganzzahl . Da- 
her mufi die Division, die zur Berechnung von T erforderlich 
ist, bzw. die zur Berechnung von N T erforderlich ist, nur fur 
die hochstwertigen 32 Bits durchgefiihrt werden, und kann da- 
her schnell und einfach auf der Host-CPU programmiert werden. 

In Fig. 4 ist das 2/3-fache des transf ormierten Moduls N T ge- 
zeigt. Da das MSB-1 und das MSB-2 von N T gleich „1" sind, wie 
es in Fig. 3 gezeigt ist, und folgendes gilt: 

(11) 2 = (3)io und (2/3 x 3) 2 = (2) 10 = (10) 2 , 

ergibt sich ein einfaches Bitmuster fur das 2/3-fache des 
transf ormierten Moduls N T , wobei die Lange des 2/3-fachen des 
transf ormierten Moduls N T gleich n-m+p ist. 

Aufgrund der speziellen Gestalt von 2/3 N T wird nun der Ver- 
gleich mit |Z| sehr einfach. Es ist bekannt, daii die hochst- 
wertige Eins von 2/3 N T an einer Position n+p-m-2 an dem Be- 
ginn einer modularen Operation ist. Ein Zeiger fur das 
Register Z startet dann bei einem bevorzugten Ausf uhrungsbei- 
spiel an dem MSB von Z und sucht nach der ersten „1" von Z. 
Wenn das MSB von Z gleich 1 ist, dann ist Z eine negative 
Zahl, und man sucht statt dessen die erste Null von Z. 

Die Differenz der Bitposition der ersten Eins im Register N 
und im Register Z bestimmt den Hilf s-Verschiebungswert Si. 
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Da das Ergebnis der Modulo-Operation in der Restklasse N sein 
mud, wird erf indungsgemafi eine Endreduktion Modulo N durchge- 
fuhrt, es muft also eine Rucktransf ormation (Schritt 14 in 
Fig. 1) durchgefuhrt werden. 

Die Transformation von N zu N T hat die folgenden Vorteile im 
Vergleich zum bekannten ZDN-Vergleich : 

Statt der Berechnung von 2/3 N innerhalb des Kryptocoprozes- 
sors kann eine einfache Transformation von N in N T in der 
Host-CPU durchgefuhrt werden. 

Auf dem Chip werden kein ZDN-Register und keine Komparatorlo- 
gik benotigt, weshalb die Chipgrofte kleiner und die Komplexi- 
tat des Coprozessors geringer werden. 

Schlieftlich kann die Transformation von N in N T mit einer 
Randomisierung des Moduls N kombiniert werden, wie es anhand 
von Fig. 5 dargestellt ist. Wenn R eine s Bit lange zufallige 
Zahl ist, hat der randomisierte transf ormierte Modul N T die 
in Fig. 5 gezeigte Form. Durch die Randomisierungszahl N wird 
der randomisierte transf ormierte Modul im Vergleich zu dem 
Fall, bei dem keine Randomisierung durchgefuhrt worden ist 
(Fig. 3) urn s Bit langer, also urn die Anzahl der Stellen von 
R. 

Gleichungsmaftig laftt sich dies f olgendermaften ausdriicken: 
N T = T N 

= T(2 n_m N T + N R ) 

Der randomisierte Transf ormator T lautet dann f olgendermafien : 

2 p-2_ 2 p-3 +r 

T = | 1 

N T 
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Damit ergibt sich folgender Ausdruck fiir den randomisierten 
transf ormierten Modul: 

5 

2 P-2 + 2 P-3 + R 

N T = I I (2 n - m N T +N R ) 

Nt 

10 N T N r 

J&i N T = (2 n+ P- m - 2 +2 n+p_m " 3 +R 2 n_m ) + (2 P ~ 2 +2 P_3 +R) . 

IK N T N T 

Wenn fur p gleich 144 Bits, m gleich 16 Bit und s gleich 112 
15 Bit eingesetzt werden, ergibt sich fiir den transf ormierten 
Modul N T einschliefilich Randomisierung folgender Wert: 



2 144 +2 143 +R 



N T = 2 n + 126 + 2 n + 125 + R 2 n-16 + N 



20 N T 
Die Bitlange von N T ist dann: 



L(N T ) = n+p-m = n+m+s = n+ 16+112 = n+128 Bits 



Fig. 6 zeigt ein erf indungsgemaftes Rechenwerk, das im Ver- 
gleich zu Fig. 7 nunmehr kein ZDN-Register hat, sondern le- 
diglich noch eine arithmetische Einheit 700, ein C-Register 
710, ein N-Register 720 und ein Z-Register 730, wobei im N- 
30 Register 720 nun nicht mehr der Modul bzw. ein verschobener 
Modul gespeichert ist, sondern der transf ormierte Modul bzw. 
ein verschobener transf ormierter Modul oder aber ein randomi- 
sierter transf ormierter Modul oder ein verschobener randomi- 
sierter transf ormierter Modul. 

35 
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Im nachf olgenden wird auf die Fig. 8a bis 8c eingegangen, um 
den Zusammenhang zwischen dem Hilf s-Verschiebungs-Wert Si und 
dem Reduktions-Verschiebungswert s N dar zustellen . 

In nachf olgenden wird auf die Fig. 8a bis 8c eingegangen, um 
die Berechnung des Redukt ions-Verschiebungswerts s z unter 
Verwendung des Hilf s-Redukt ions-Verschiebungswerts s± darzu- 
stellen. In Fig. 8a sind ein Zwischenergebnis Z und ein Modul 
N dargestellt. Lediglich beispielhaft hat das Zwischenergeb- 
nis vier Bits, wahrend der Modul 9 Bits hat. Nunmehr sei an- 
genommen, daft in dem Block 214 von Fig. 2 ein verschobenes 
Zwischenergebnis Z' berechnet wird, was durch Multiplizieren 
mit s z erreicht werden kann. So sei angenommen, daft im Multi- 
plikator 8 Nullen waren, was dazu fiihrt, daft der Multiplika- 
tions-Verschiebungswert s z gleich 8 war. Um eine modulare Re- 
duktion zu erreichen, muft der Modul N in die Groftenordnung 
des verschobenen Zwischenergebnis Z' kommen. Erf indungsgemaft 
soil der Modul N so weit verschoben werden, daft das oberste 
Bit des verschobenen Zwischenergebnis-Polynoms Z' und das 
oberste Bit des verschobenen Moduls N gleich sind. Wie es aus 
Fig. 8b zu sehen ist, ist hierzu ein Reduktions- 
Verschiebungswert von s N gleich 3 erf orderlich . 

Aus Fig. 8b ist ebenfalls zu sehen, daft die Ermittlung von s N 
eigentlich erst durchgefuhrt werden kann, wenn s z berechnet 
worden ist, d. h. daft eine parallele Ausfuhrung der Blocke 
210 und 212 von Fig. 2, wie es fur die vorliegende Erfindung 
bevorzugt wird, nicht moglich ist. Aus diesem Grund wird der 
Hilf s-Verschiebungs-Parameter s± eingefuhrt. Vorteilhaft an 
si ist, daft dieser Wert berechnet werden kann, ohne das s z 
des aktuellen Schritts zu kennen. 

Aus Fig. 8c ist zu sehen, daft s z immer gleich der Summe aus 
Si und s N ist. s N hangt somit immer mit s z und Si derart zusam- 
men, daft folgende Gleichung gilt: 
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Das zeitauf wendige iterative Verfahren zum Bestimmen von s N 
kann somit zerlegt werden in ein zeitauf wendiges iteratives 
Verfahren zum Bestimmen von s± (Schleife 416) und eine 
schnelle Dif f erenz-Operation (Block 422 von Fig. 4) . Damit 
ist eine nahezu parallele Ausfuhrung der beiden Vorausschau- 
Verfahren moglich, wobei die einzige serielle Komponente dar- 
in besteht, daft vor dem Berechnen des Blocks 422 (Fig. 4) der 
tatsachliche Wert von s z durch den Multiplikations- 
Vorausschau-Algorithmus bereits berechnet und geliefert wor- 
den ist (Pfeil 230 in Fig. 2). 

Zusammenf assend sei ausgefiihrt, daft die vorliegende Erfindung 
den Vergleich zwischen 2/3 N und dem Betrag von Z im Ver- 
gleich zum bekannten ZDN-Verf ahren vereinfacht. Im Gegensatz 
zum bisherigen bekannten Verfahren, bei dem die obersten 32 
Bit von 2/3 N im Kryptocoprozessor berechnet und in einem se- 
paraten 32-Bit-Register , dem ZDN-Register , abgelegt wurden, 
wobei der Vergleich von 2/3 N mit dem Betrag von Z gemaft dem 
bekannten ZDN-Verf ahren in Hardware uber einen Komparator 
ausgefiihrt wurde, der Bestandteil des Controlteils des Kryp- 
tocoprozessors war, wird nunmehr f olgendermaften vorgegangen. 
Der Modul N wird von der Host-CPU in einen transf ormierten 
Modul N T transf ormiert, der grofter als N ist, wobei die er- 
sten Bits von N T eine Konstante sind, die so gewahlt ist, daft 
der Vergleich von 2/3 N T mit dem Betrag von Z trivial ist. 
Zur Verbesserung der Sicherheit gegen Inf ormations-Leck- 
Attacken, wie z. B. SPA, DPA, Timing-Attacken, kann die 

Transformation von N zu N T mit der Randomisierung des Moduls 
kombiniert werden, wie es ausgefiihrt worden ist. 

Damit entfallt die 2/3 N-Berechnung im Kryptocoprozessor. Das 
ZDN-Register und die Komparatorlogik entfallen ebenso, wo- 
durch sich eine kleinere Chipflache und eine Verringerung der 
Komplexitat des Controlteils im Kryptocoprozessor durch Weg- 
fall der Komparatorlogik ergeben. 
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Patentanspruche 

1. Verfahren zum modularen Multiplizieren eines Multiplikan- 
den (C) mit einem Multiplikator (M) , wobei ein Modul (N) ver- 
wendet wird, unter Verwendung eines Mult iplikat ions - 
Vorausschau-Verf ahrens und eines Reduktions-Vorausschau- 
Verfahrens, mit folgenden Schritten: 

Transf ormieren (10) des Moduls (N) in einen transf ormierten 
Modul (N T ) , der grofier als der Modul (N) ist, wobei ein vor- 
bestimmter Bruchteil (2/3) des transf ormierten Moduls eine 
hoherwertige Stelle mit einem ersten vorbestimmten Wert hat, 
der zumindest eine niederwertigere Stelle folgt, die einen 
zweiten vorbestimmten Wert hat; 

iteratives Abarbeiten (12) der modularen Multiplikation unter 
Verwendung des Multiplikations-Vorausschau-Verf ahrens und des 
Reduktions-Vorausschau-Verf ahrens unter Verwendung des trans- 
formierten Moduls (N T ) , urn am Ende der Iteration ein trans- 
formiertes Ergebnis fur die modulare Multiplikation zu erhal- 
ten; und 

Rticktransf ormieren (14) des transf ormierten Ergebnisses durch 
modulares Reduzieren des transf ormierten Ergebnisses unter 
Verwendung des Moduls (N) . 

2. Verfahren nach Anspruch 1, bei dem im Schritt des iterati- 
ven Abarbeitens (12) eine Mehrzahl von Iterationsschritten 
durchgefuhrt wird, wobei in einem Iterationsschritt ein Mul- 
tiplikations-Zwischenergebnis und ein Reduktions- 
Verschiebungswert (s N ) ermittelt werden, wobei der Redukti- 
ons-Verschiebungswert (s N ) unter Verwendung einer Bestimmung 
der Anzahl (si) von Stellen zwischen der hoherwertigen Stelle 
mit dem ersten vorbestimmten Wert des transf ormierten Moduls 
(N T ) und der hochstwert igen Stelle des Zwischenergebnisses 
(Z), die den ersten vorbestimmten Wert hat, berechnet wird. 
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3. Verfahren nach Anspruch 2, bei dem in dem Multiplikations- 
Vorausschau-Verf ahren ein Multiplikations-Verschiebungswert 
(s z ) ermittelt wird, und bei dem ein Reduktions- 
Verschiebungs-Wert (s N ) fur das Reduktions-Vorausschau- 
Verfahren durch Subtrahieren der bestimmten Anzahl (si) von 
Stellen von dem Multiplikations-Verschiebungswert (s z ) be- 
rechnet wird. 

4. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
der Schritt des iterativen Abarbeitens folgende Schritte auf- 
weist : 

in einem ersten Iterationsschritt : 

(a) Durch fuhr en eines Multiplikations-Vorausschau-Verf ahrens, 
urn einen Multiplikations-Verschiebungswert (s z ) zu erhalten, 

(b) Multiplizieren einer Basis potenziert mit dem Multiplika- 
tions-Verschiebungswert mit einem aktuellen Zwischenergebnis 
(Z), urn ein verschobenes Zwischenergebnis (Z') zu erhalten; 

(c) Durchfuhren eines Reduktions-Vorausschau-Verf ahrens , urn 
einen Reduktions-Verschiebungswert (s N ) zu erhalten durch Be- 
stimmen eines Hilf s-Verschiebungswerts (si) der gleich der 
Anzahl von Stellen zwischen der hoherwertigen Stelle mit dem 
ersten vorbest immten Wert des vorbestimmten Bruchteils des 
transf ormierten Moduls (N T ) und der hochstwert igen Stelle des 
Zwischenergebnisses, die den ersten vorbestimmten Wert hat, 
ist, und durch Berechnen des Reduktions-Verschiebungswerts 
unter Verwendung des Hilf s-Verschiebungswerts und des Multi- 
plikations-Verschiebungswerts (s 2 ) ; 

(d) Multiplizieren des transf ormierten Moduls (N T ) mit der 
Basis potenziert mit dem Reduktions-Verschiebungswert, urn ei- 
nen verschobenen transf ormierten Modul (N T ') zu erhalten; und 
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(e) Summieren des Zwischenergebnisses (Z') und des Multipli- 
kanden (C) und Subtrahieren des verschobenen transf ormierten 

Moduls (N T ), urn ein aktualisiertes Zwischenergebnis (Z) zu 

erhalten. 

5 

5. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
der vorbestimmte Bruchteil des Moduls 2/3 betragt. 

6. Verfahren nach Anspruch 5, bei dem der Multiplikand (C) , 
10 der Multiplikator (M) und der Modul (N) binar sind, bei dem 

ML die Basis 2 betragt, und bei dem die hoherwertige Stelle des 
vorbestimmten Bruchteils des transf ormierten Moduls (N T ) ei- 
nen ersten vorbestimmten Wert von 1 hat, und die zumindest 
eine niederwertige Stelle einen zweiten vorbestimmten Wert 
15 von 0 hat, 

7. Verfahren nach Anspruch 6, bei dem das hochstwertige Bit 
des transf ormierten Moduls ein Vorzeichen-Bit ist und ein ho- 
herwertiger Abschnitt des vorbestimmten Bruchteils des Moduls 

20 f olgendermafien lautet: 

01000 xx ... xx, 

wobei die mit xx bezeichneten Bits beliebige Werte haben kon- 
w9 nen. 

8. Verfahren nach Anspruch 7, bei dem der hoherwertige Ab- 
schnitt des transf ormierten Moduls (N T ) f olgendermafien lau- 
tet: 

30 

01100 ... 00. 

9. Verfahren nach einem der Anspruche 1 bis 8, bei dem im 
Schritt des Transf ormierens (10) des Moduls eine Randomisie- 

35 rung des Moduls durchgefiihrt wird, so daft der transf ormierte 
Modul randomisiert ist. 
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10. Prozessor zum modularen Multiplizieren eines Multiplikan- 
den (C) mit einem Multiplikator (M) , wobei ein Modul (N) ver- 
wendet wird, unter Verwendung eines Mult iplikat ions - 
Vorausschau-Verf ahrens und eines Reduktions-Vorausschau- 
Verfahrens, mit folgenden Merkmalen: 

einer Einrichtung zum Transf ormieren (10) des Moduls (N) in 
einen transf ormierten Modul (N T ) , der grofrer als der Modul 
(N) ist, wobei ein vorbestimmter Bruchteil des transf ormier- 
ten Moduls eine hoherwertige Stelle mit einem ersten vorbe- 
^stimmten Wert hat, der zumindest eine niederwertigere Stelle 
folgt, die einen zweiten vorbestimmten Wert hat; 

einer Einrichtung zum iterativen Abarbeiten (12) der modula- 
ren Multiplikation unter Verwendung des Multiplikations- 
Vorausschau-Verfahrens und des Reduktions-Vorausschau- 
Verfahrens unter Verwendung des transf ormierten Moduls (N T ) , 
urn am Ende der Iteration ein transf ormiertes Ergebnis fur die 
modulare Multiplikation zu erhalten; und 

einer Einrichtung zum Rucktransf ormieren (14) des transf or- 
mierten Ergebnisses durch modulares Reduzieren des transfor- 
mierten Ergebnisses unter Verwendung des Moduls (N) . 

11. Prozessor nach Anspruch 10, der eine Host-CPU und einen 
Coprozessor aufweist, wobei die Einrichtung zum Transf ormie- 
ren (10) des Moduls in der Host-CPU angeordnet ist, und wobei 
die Einrichtung zum iterativen Abarbeiten (12) der modularen 
Multiplikation in dem Coprozessor angeordnet ist. 

12. Prozessor nach Anspruch 11, bei dem die Host-CPU ein 
Kurzzahl-Rechenwerk mit einer Anzahl von Stellen kleiner oder 
gleich 64 aufweist, und bei dem der Coprozessor ein Langzahl- 
Rechenwerk mit einer Anzahl von Stellen grofler oder gleich 
512 aufweist. 

13. Prozessor nach einem der Anspriiche 10 bis 12, 
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bei dem die Einrichtung zum iterativen Abarbeiten der modula- 
ren Multiplikation ein Register fur den transf ormierten Modul 
und ein Register fur ein Zwischenergebnis der modularen Mul- 
tiplikation auf weist . 
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Zusammenf assung 

Verfahren und Vorrichtung zum modularen Multiplizieren 

5 Bei einem Verfahren zum modularen Multiplizieren unter Ver- 
wendung eines Multiplikations-Vorausschau-Verf ahrens zum Be- 
rechnen eines Multiplikations-Verschiebungswerts und eines 
Reduktions-Vorausschau-Verf ahrens zum Berechnen eines Reduk- 
tions-Verschiebungswerts wird ein Modul zunachst in einen 

10 transf ormierten Modul transf ormiert (10), der grofier als der 
Modul ist. Die Transformation wird so durchgef uhrt , daft ein 

A vorbestimmter Bruchteil des transf ormierten Moduls eine ho- 
™' herwertige Stelle mit einem ersten vorbestimmten Wert hat, 
dem zumindest eine niederwertige Stelle folgt, die einen 

15 zweiten vorbestimmten Wert hat. Wahrend des iterativen Abar- 
beitens (12) der modularen Multiplikat ion unter Verwendung 
des Multiplikations-Vorausschau-Verf ahrens und des Redukti- 
ons-Vorausschau-Verf ahrens wird der transf ormierte Modul ver- 
wendet, urn am Ende der Iteration ein transf ormiertes Ergebnis 

20 fur die modulare Multiplikation zu erhalten. SchlieBlich wird 
das transf ormierte Ergebnis durch modulares Reduzieren unter 
Verwendung des ursprunglichen Moduls rucktransf ormiert (14). 
Durch die erf indungsgemafte Transformation wird das iterative 
Abarbeiten der modularen Multiplikation vereinfacht, so dafl 

2£ die modulare Multiplikation schneller durchgefiihrt werden 
' kann. 
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Figur 1 



Figur fiir die Zusammenf assung 
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Bezugszeichenliste 

10 Transf ormieren des Moduls 

12 Iteratives Abarbeiten der modularen Multiplikation 

14 Riicktransf ormieren des transf ormierten Ergebnisses 

33 Oberer Abschnitt des transf ormierten Moduls 

44 Oberer Abschnitt des 2/3-fachen des transf ormierten 
Moduls 

700 Arithmetische Einheit 

710 C-Register 

720 N-Register 

730 Z-Register 

740 Iterationsschleif e 

750 ZDN-Register 

760 Steuerlogik fur den ZDN-Vergleich 

900 Start des ZDN-Verfahrens 

910 Multiplikations-Vorausschau-Verf ahren fur den ZDN- 
Algorithmus 

920 Verschieben von Z nach links oder rechts 

930 Reduktions-Vorausschau-Verf ahren fur den ZDN- 

Algorithmus 

940 Verschieben des Moduls nach links 

950 Drei-Operanden-Addition fur den ZDN-Algorithmus 

960 Ende des ZDN-Algorithmus 

1000 Globale Variablen 

1010 Initial isierung des Reduktions-Verschiebungswerts 

1020 Berechnen von ZDN 

1030 Untersuchen von n und s N 

1040 Dekrementieren von n 

10 60 Dekrementieren des Reduktions-Verschiebungswerts 

1080 Berechnen von ZDN/2 

1100 Vergleich des Zwischenergebnisses mit ZDN 

1120 Bestimmen des Redukt ions- Vorausschau- Parameters 

114 0 Bestimmen des Redukt ions -Vorausschau- Parameters 

1160 Berechnen von n 

118 0 Berechnen des Redukt ions -Vorausschau- Parameters 

1200 Untersuchen von n 
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1220 Berechnen von cur_k 
1240 Berechnen von cur k 
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